© DAH | Bild: Renata Chueire

„Niemand ist gezwungen, sich eine elektronische Patientenakte freischalten zu lassen“

Interview mit dem Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber

„Niemand ist gezwungen, sich eine elektronische Patientenakte freischalten zu lassen“

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber hat die technische Umsetzung der elektronische Patientenakte mehr als deutlich kritisiert. Warum sie seiner Ansicht nach gegen die europäische Datenschutz-Grundverordnung verstößt, erläutert er im Interview.

Herr Professor Kelber, Sie haben in Ihrer Funktion als Bundesdatenschutzbeauftragter vor dem Einsatz der elektronischen Patientenakte (ePA) gewarnt – ein Produkt, das vom Bundesgesundheitsministerium in Auftrag gegeben wurde. Hat dieser Warnruf die von Ihnen erhofften Reaktionen gebracht?

Ulrich Kelber: Während des Gesetzgebungsprozesses habe ich in Stellungnahmen und auch auf Arbeitsebene immer wieder darauf hingewiesen, dass ich drei Punkte des Patientendaten-Schutz-Gesetzes (PDSG) für europarechtswidrig halte. Erstens war seit vielen Jahren klar, dass die elektronische Patientenakte (ePA) ein dokumentengenaues Berechtigungsmanagement haben muss. Das wird es zum Start 2021 nicht geben. Nutzende können dann nur wählen, ob beispielsweise ein Arzt alle anderen ärztlichen Dokumente sehen darf oder gar keine. Dies entspricht nicht dem Stand der Technik. Das wird sich 2022 zwar ändern, aber nur für die Nutzenden von so genannten Frontend-Geräten wie beispielsweise Smartphones und Tablets. Auch in dieser Ungleichbehandlung sehe ich einen Verstoß gegen die Datenschutz-Grundverordnung. Drittens entspricht das Authentisierungsverfahren für die elektronische Patientenakte ohne Einsatz der elektronischen Gesundheitskarte (eGK) nicht einem hohen Schutzniveau gemäß den Anforderungen des Bundesamts für Sicherheit in der Informationstechnik.

Welche Möglichkeiten haben Sie, um die Einführung der ePA in der jetzigen Form zu verhindern?

Ich habe den von mir beaufsichtigten gesetzlichen Krankenkassen im November eine Warnung geschickt. Darin habe ich darauf hingewiesen, dass eine elektronische Patientenakte, die nur die Vorgaben des Patientendaten-Schutz-Gesetzes (PDSG) berücksichtigt, nicht aber die Datenschutzgrundverordnung (DSGVO), gegen europäisches Recht verstößt. In einem nächsten Schritt plane ich Anweisungen auszusprechen, damit die Krankenkassen Lösungen für die Kritikpunkte umsetzen. Dies bedarf allerdings der präzisen Vorbereitung, da die Krankenkassen bereits auf Klagemöglichkeiten gegen meine Anweisung hingewiesen wurden, noch bevor diese überhaupt bekannt sind.

„Wir haben sicher einen großen Nachholbedarf bei der Digitalisierung, gerade im Gesundheitsbereich. Diese Digitalisierung muss aber den Patientinnen und Patienten dienen.“

Hauptkritikpunkt ist, dass die Patient_innen nicht bereits mit der Einführung der ePA den Zugriff auf Befunde differenziert steuern können, sodass beispielsweise eine Augenärztin automatisch auf eine HIV-Diagnose oder psychiatrische Befunde zugreifen könnte. Wie erklären Sie sich diese zentrale Fehlkonstruktion?

Wir haben sicher einen großen Nachholbedarf bei der Digitalisierung, gerade im Gesundheitsbereich. Diese Digitalisierung muss aber den Patientinnen und Patienten dienen. Ich habe im Gesetzgebungsverfahren wiederholt auf die bestehenden Defizite hingewiesen. Über die Gründe, weshalb ein dokumentengenaues Zugriffsmanagement erst ab 2022 und nur für Nutzer mobiler Endgeräte angeboten wird, möchte ich nicht spekulieren.

Erst ab 2022 sollen die Versicherten die Zugriffsrechte steuern können. Ist zu erwarten, dass es dabei bleiben wird, oder könnte die gematik mbH nacharbeiten und die Frist verkürzen?

Auch hier müsste ich spekulieren. Ich habe keine Information hierüber von der gematik.

Die Festlegung, wer welche Inhalte einsehen darf, sollen Patient_innen lediglich über das Smartphone oder Tablet vornehmen können. Über den Computer wird dies nicht möglich sein. Schließt dies nicht sehr viele Menschen aus, zum Beispiel ältere oder solche ohne die entsprechende technische Ausstattung?

Ich habe immer wieder darauf hingewiesen, dass auch Versicherte ohne eigenes mobiles Endgerät, also ohne Smartphone oder Tablet, dokumentengenaue Einstellungen bei der elektronischen Patientenakte vornehmen können müssen. Das betrifft aber nicht nur ältere Menschen oder solche ohne entsprechende Ausstattung, sondern auch diejenigen, die ihre sensiblen Gesundheitsdaten nicht mittels Smartphone oder Tablet verwalten wollen. Diese Einschränkung steht im Widerspruch zu den Vorgaben der DSGVO. Daher wäre auch die Einführung eines ePA-Programms für den heimischen PC und freie Betriebssysteme zwar ein guter Schritt – die grundlegende Problematik für Menschen ohne Endgerät wäre aber nicht gelöst.

Welche Möglichkeiten haben Patient_innen ab dem 1. Januar, damit Gesundheitsdaten nicht unkontrolliert über die ePA eingesehen werden können? Wie sollen sich Patient_innen verhalten, wenn ihre Ärzt_innen Daten auf die ePA hochladen möchten, um sie so z.B. an Kolleg_innen übermitteln zu können?

Die Nutzung der ePA ist für alle versicherten Personen freiwillig. Nur die Krankenkassen sind verpflichtet, ihren Versicherten ein entsprechendes Angebot zu machen. Niemand ist also gezwungen, sich eine ePA freischalten zu lassen. Eine Alternative wäre, die ePA einzurichten, aber keine Zugriffsrechte zu vergeben, solange keine dokumentengenaue Steuerung durch die Versicherten möglich ist.

„Die Bürgerinnen und Bürger müssen für sich selbst entscheiden, ob sie mit der Nutzung der ePA noch warten wollen, bis Datensicherheit und Datenschutz vollumfänglich gewährleistet sind.“

Welche Empfehlung können Sie den Versicherten generell geben? Sollten zumindest Patient_innen, die durch diese – wenn auch begrenzte – Offenlegung ihrer Gesundheitsdaten beispielsweise Diskriminierung befürchten, die ePA vorerst nicht einsetzen? Zu denken wäre hier beispielsweise an Menschen mit HIV, an psychisch Erkrankte oder Drogenabhängige in der Substitution.

Die Bürgerinnen und Bürger müssen für sich selbst entscheiden, ob sie mit der Nutzung der ePA noch warten wollen, bis Datensicherheit und Datenschutz vollumfänglich gewährleistet sind. Ich persönlich würde so handeln.

Die Fragen stellte Axel Schock